OPS05-BP05 Durchführen der Patch-Verwaltung - AWS Well-Architected Framework

OPS05-BP05 Durchführen der Patch-Verwaltung

Führen Sie eine Patch-Verwaltung durch, um Funktionen zu erhalten, Probleme zu beheben und die Konformität mit der Governance zu gewährleisten. Automatisieren Sie die Patch-Verwaltung, um Fehler aufgrund manueller Prozesse zu reduzieren, zu skalieren und den Aufwand für die Installation von Patches zu verringern.

Patch- und Schwachstellenmanagement sind Teil Ihrer Vorteile- und Risikomanagement-Aktivitäten. Es ist vorzuziehen, unveränderliche Infrastrukturen zu haben und Workloads in verifizierten bekannten guten Zuständen bereitzustellen. Wenn dies nicht realisierbar ist, ist das Patchen die verbleibende Option.

Amazon EC2 Image Builder stellt Pipelines zur Aktualisierung von Machine Images bereit. Als Teil des Patch-Managements sollten Sie Amazon Machine Images (AMIs) in Betracht ziehen, die eine AMI-Image-Pipeline oder Container-Images mit einer Docker-Image-Pipeline verwenden, während AWS Lambda Muster für benutzerdefinierte Laufzeiten und zusätzliche Bibliotheken bereitstellt, um Schwachstellen zu beseitigen.

Sie sollten Aktualisierungen für Amazon Machine Images für Linux- oder Windows Server-Images mit Amazon EC2 Image Builder verwalten. Sie können Amazon Elastic Container Registry (Amazon ECR) mit Ihrer bestehenden Pipeline verwenden, um Amazon ECS-Images und Amazon EKS-Images zu verwalten. Lambda enthält Funktionen zur Versionsverwaltung.

Patches sollten nicht auf Produktionssystemen durchgeführt werden, ohne zuerst in einer sicheren Umgebung getestet zu werden. Patches sollten nur angewendet werden, wenn sie ein betriebliches oder geschäftliches Ergebnis unterstützen. In AWS können Sie AWS Systems ManagerPatch Manager verwenden, um das Patchen verwalteter Systeme zu automatisieren und die Aktivität mithilfe von Systems Manager-Wartungszeitfenstern zu planen.

Gewünschtes Ergebnis: Ihre AMI und Container-Images sind gepatcht, aktuell und startbereit. Sie können den Status aller bereitgestellten Images nachverfolgen und wissen, dass die Patches konform sind. Sie können über den aktuellen Status berichten und verfügen über ein Verfahren, mit dem Sie Ihre Compliance-Anforderungen erfüllen können.

Typische Anti-Muster:

  • Sie erhalten den Auftrag, alle neuen Sicherheits-Patches innerhalb von zwei Stunden anzuwenden, was zu mehreren Ausfällen aufgrund der Anwendungsinkompatibilität mit bestimmten Patches führt.

  • Eine ungepatchte Bibliothek hat unbeabsichtigte Folgen, weil unbekannte Personen Schwachstellen darin ausnutzen, um auf Ihre Workload zuzugreifen.

  • Sie patchen die Entwicklerumgebungen automatisch, ohne die Entwickler zu benachrichtigen. Sie erhalten mehrere Beschwerden von den Entwicklern, dass ihre Umgebung nicht mehr wie erwartet funktioniert.

  • Sie haben die kommerziell im Handel erhältliche Software auf einer persistenten Instance nicht gepatcht. Als ein Problem mit der Software auftritt und Sie sich an den Anbieter wenden, werden Sie darüber informiert, dass die Version nicht unterstützt wird und Sie bestimmte Patches installieren müssen, um Unterstützung zu erhalten.

  • Ein kürzlich veröffentlichter Patch für Ihre verwendete Verschlüsselungssoftware bietet signifikante Leistungsverbesserungen. Ihr ungepatchtes System weist Leistungsprobleme auf, die bestehen bleiben, weil es nicht gepatcht ist.

  • Sie werden über eine Zero-Day-Schwachstelle informiert, die eine Notfalllösung erfordert, und Sie müssen alle Ihre Umgebungen manuell patchen.

Vorteile der Nutzung dieser bewährten Methode: Durch die Einrichtung eines Patch-Verwaltungsprozesses, einschließlich Ihrer Patching-Kriterien und Bereitstellungsmethodik für Ihre Umgebungen, können Sie die Patch-Ebenen skalieren und Berichte darüber erstellen. Das gibt Ihnen Sicherheit in Bezug auf Sicherheitspatches und gewährleistet einen klaren Überblick über den Status bekannter Problemlösungen. Dies wiederum fördert die Übernahme der gewünschten Merkmale und Funktionen, das Entfernen von Problemen und die kontinuierliche Compliance. Implementieren Sie Verwaltungssysteme und Automatisierung für Patches, um den Aufwand für die Bereitstellung von Patches zu reduzieren und Fehler zu begrenzen, die durch manuelle Prozesse verursacht werden.

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Mittel

Implementierungsleitfaden

Installieren Sie auf Ihren Systemen Patches zur Behebung von Problemen, zur Erlangung der gewünschten Funktionen oder Fähigkeiten sowie zur kontinuierlichen Einhaltung der Governance-Richtlinien und der Anforderungen des Lieferantensupport. Nehmen Sie in unveränderlichen Systemen eine Bereitstellung mit einer geeigneten Patch-Gruppe vor, um das gewünschte Ergebnis zu erzielen. Automatisieren Sie den Mechanismus der Patch-Verwaltung, um die Patch-Zeit zu verkürzen, Fehler aufgrund von manuellen Prozessen zu vermeiden und den Aufwand für die Installation von Patches zu verringern.

Implementierungsschritte

Für Amazon EC2 Image Builder:

  1. Wenn Sie Amazon EC2 Image Builder verwenden, geben Sie die Pipeline-Details an:

    1. Erstellen Sie eine Image-Pipeline und geben Sie ihr einen Namen.

    2. Definieren Sie den Pipeline-Zeitplan und die Zeitzone.

    3. Konfigurieren Sie alle Abhängigkeiten.

  2. Wählen Sie ein Rezept:

    1. Wählen Sie ein vorhandenes Rezept aus oder erstellen Sie ein neues.

    2. Wählen Sie den Image-Typ aus.

    3. Geben Sie Ihrem Rezept einen Namen und eine Versionsnummer.

    4. Wählen Sie Ihr Basis-Image aus.

    5. Fügen Sie Build-Komponenten zur Zielregistrierung hinzu.

  3. Optional: Definieren Sie Ihre Infrastrukturkonfiguration.

  4. Optional: Definieren Sie die Konfigurationseinstellungen.

  5. Prüfen Sie die Einstellungen.

  6. Achten Sie regelmäßig auf die Rezepthygiene.

Für Systems Manager Patch Manager:

  1. Erstellen Sie eine Patch-Baseline.

  2. Wählen Sie eine Methode für Pfadoperationen aus.

  3. Aktivieren Sie Compliance-Berichte und -Scans.

Ressourcen

Zugehörige bewährte Methoden:

Zugehörige Dokumente:

Zugehörige Videos: